Usuários do pacote npm "@adonisjs/bodyparser" foram alertados a atualizarem para a versão mais recente após a divulgação de uma vulnerabilidade crítica que, se explorada com sucesso, permite a um atacante remoto gravar arquivos arbitrários no servidor.
Identificada como
CVE-2026-21440
, com nota CVSS 9,2, a falha é um problema de path traversal na forma como o AdonisJS processa arquivos multipart.
O pacote "@adonisjs/bodyparser" está vinculado ao AdonisJS, framework Node.js para desenvolvimento de aplicações web e APIs em TypeScript, e é responsável por processar o conteúdo das requisições HTTP nesse ambiente.
Segundo os mantenedores, o problema ocorre quando desenvolvedores utilizam o método MultipartFile.move() sem passar o argumento de opções ou sem sanitizar explicitamente o nome do arquivo.
Isso permite que um invasor envie um nome malicioso com sequências de path traversal, gravando arquivos fora do diretório previsto para upload.
Como consequência, é possível a escrita arbitrária no servidor.
Para que a exploração ocorra, é necessário que haja um endpoint acessível para upload.
O cerne da vulnerabilidade está na função MultipartFile.move(location, options), que move o arquivo para o local especificado.
O parâmetro options inclui o nome do arquivo e uma flag que indica se um arquivo existente deverá ser sobrescrito.
A falha ocorre quando o nome do arquivo não é explicitamente fornecido, fazendo com que o sistema utilize o nome original enviado pelo cliente, sem qualquer sanitização, o que abre caminho para path traversal.
Se a flag overwrite estiver ativa (true), o invasor pode escolher qualquer destino para sobrescrever arquivos sensíveis.
Os responsáveis pelo AdonisJS alertam que, caso o atacante consiga sobrescrever códigos da aplicação, scripts de inicialização ou arquivos de configuração usados posteriormente, pode haver execução remota de código (RCE).
No entanto, esse cenário depende das permissões no sistema de arquivos, da estrutura de implantação e do comportamento da aplicação em tempo de execução.
A vulnerabilidade foi descoberta e reportada por Hunter Wodzenski (@wodzen) e afeta as versões até 10.1.1 (corrigida na 10.1.2) e até 11.0.0-next.5 (corrigida na 11.0.0-next.6).
Outro alerta recente envolve falha similar de path traversal na biblioteca npm jsPDF (
CVE-2025-68428
, CVSS 9,2), que permitia o uso de caminhos não sanitizados para acessar conteúdos arbitrários no sistema local onde o processo Node está rodando.
A vulnerabilidade do jsPDF foi corrigida na versão 4.0.0, lançada em 3 de janeiro de 2026.
Como alternativa, recomenda-se utilizar a flag --permission para limitar o acesso ao sistema de arquivos.
O pesquisador Kwangwoon Kim foi reconhecido pela descoberta. De acordo com a Parallax, desenvolvedora da jsPDF, “o conteúdo dos arquivos é incluído diretamente nos PDFs gerados”.
A falha afeta apenas as versões para Node.js da biblioteca, especificamente os arquivos dist/jspdf.node.js e dist/jspdf.node.min.js.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...